PHP Forum

PHP Forum (http://www.selfphp.de/forum/index.php)
-   PHP Grundlagen (http://www.selfphp.de/forum/forumdisplay.php?f=12)
-   -   *.inc sicherheitslücke? (http://www.selfphp.de/forum/showthread.php?t=1246)

|Coding 21.04.2002 16:03:15
*.inc sicherheitslücke?
 
tach zusammen,

mal ne frage sind *.inc dateien nicht potenzielle sicherheitslücken?
wenn mal eine *.inc datei direkt aufruft kann es, je nach konfiguration, vorkommen das der server dem browser direkt die include datei anbietet.
ich löse das immer so das ich hinter das *.inc noch ein *.php dranhänge, also dann *.inc.php, weil so werden die include datein auch geparsed, sie geben dann vielleicht einen fehler aus, aber sie werden denoch nicht direkt dem browser angeboten.
somit ist der quellcode geschützt.
man könnte die sache zwar noch mit einer .htaccess datei lösen:
Code:
Addhandler server-parsed .inc
aber nicht jeder hat zugriff auf die .htaccess datei. das ist doch soweit richtig oder?

Dago 21.04.2002 18:42:58
Es ist völlig normal, dass zu inkludierende Dateien, für die der Server keinen Handler hat, direkt an den Browser geschickt werden. Denn für solche Dateien gilt: text/plain
Wo soll da jetzt ein Sicherheitsloch sein?? Wenn du geparste Dateien haben willst, nimm halt .php als Endung ;)

|Coding 21.04.2002 18:48:45
hi,

jo hab ich ja, die endung *.php, aber es ist doch so das wenn nicht *.php als endung genommen wird, dann sendet der server doch direkt die datei zum browser... das ist doch ein sicherheitsloch für den quellcode den man geschrieben hat und nicht so ohne weiteres weitergeben will.

Dago 21.04.2002 18:52:07
Quellcode gehört ja auch nicht in "normale" Dateien, sondern nur in .php ;-)

|Coding 21.04.2002 18:55:08
jo das wollt ich ja damit verdeutlichen ;)

gray 21.04.2002 23:54:13
-

Nev 22.04.2002 14:26:19
Hi @ll

auf htaccess Dateien sollten generell die Rechte 666 haben.
aber wenn nicht ist es auch kein Problem.

@|Coding
Inc-Dateien werden direkt ausgegeben, da der Server diese Endung ned kennt.

Ich kann nur empfehlen das ganze in PHP -Dateien umzubenennen.

Du kannst das ganze noch etwas verfeinern, in dem du noch eine IF-Abfrage einbaust.

das Heißt:
wenn du die Datei direkt aufrufst, zeigt er einen Error, wenn du es von der Haupt-Datei aufrufst gibt du noch einen Parameter mit.

Ich hoffe du weißt was ich meine

Dago 22.04.2002 15:58:42
Zitat:
Original geschrieben von Nev
wenn du die Datei direkt aufrufst, zeigt er einen Error, wenn du es von der Haupt-Datei aufrufst gibt du noch einen Parameter mit.
Das kann man übrigens mit sowas realisieren:

if (sizeof(get_included_files()) == 0) {
header('HTTP/1.0 404 Not Found');
}

Nev 22.04.2002 16:06:05
@Dago

Diese Lösung ist echt spitze

Werde ich in mein Sichterheits konzept einbauen

BIG THX für deinen Beitrag

|Coding 22.04.2002 17:20:38
hi all,

jo thx für den tipp nev und das mit der if anweisung echt super dago


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:19:47 Uhr.

Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.